7月9日辦理本分局97年政風督導小組會議。本次會議內容包括（一）上次會議討論提案執行情形報告。（二）本分局開標作業業務防弊措施執行情形報告。（三）本分局97年政風專案訪查反應事項分辦表執行情形報告。（四）政風法令宣導（公務員廉政倫理規範）（五）提案2案提會討論1案經會議決議執行（六）臨時動議1案由主席裁示隨會議紀錄轉發「本局端正政風防制貪污工作實施計畫」暨「員工操性加強考核表」，請各單位主管確實辦理。

一、行政院(以下簡稱本院)為統籌廉政政策，端正政治風氣，促進廉能政治，特設中央廉政委員會(以下簡稱本會)。

二、本會任務如下：

(一)廉政決策及重大措施之規劃事項。
(二)重大廉政計畫之審議事項。
(三)廉政法令研修之審議事項。
(四)重大廉政工作之諮詢及評議事項。
(五)廉政教育與宣導之規劃及審議事項。
(六)肅貪、防貪、公務倫理、企業誠信、反賄選、行政效能及透明化措施之檢討事項。
(七)廉政工作執行情形之督導及考核事項。
(八)其他有關端正政風及促進廉政事項。

三、本會置召集人一人，由本院院長兼任；副召集人一人，由本院副院長兼任；委員十八人至二十人，由院長就下列人員派(聘)兼之，任期為二年：

(一) 本院政務委員。
(二) 本院秘書長。
(三) 內政部部長。
(四) 外交部部長。
(五) 國防部部長。
(六) 財政部部長。
(七) 教育部部長。
(八) 法務部部長。
(九) 經濟部部長。
(十) 交通部部長。
(十一) 本院人事行政局局長。
(十二) 本院研究發展考核委員會主任委員。
(十三) 本院公共工程委員會主任委員。
(十四) 本院金融監督管理委員會主任委員。
(十五) 國家通訊傳播委員會主任委員。
(十六) 專家學者及社會公正人士三人至五人。
未列本會委員之本院各一級機關首長，本會得視需要邀請出席。

四、本會秘書業務由法務部負責。

本會置執行長一人，由法務部部長兼任，承召集人之命，綜理本會事務。

五、本會原則上每月召開會議一次，必要時，得隨時召開會議，由召集人擔任主席，召集人不能出席會議時，由副召集人代理之。

六、本會召開會議時，得視需要邀請監察院秘書長、考試院秘書長、銓敘部部長及其他有關機關首長列席。

七、本會召集人、副召集人及委員均為無給職。

八、本會所需經費，由法務部編列預算支應。

九、本會決議及交付執行事項，以本院名義行之。

從端點安全談政府機關資料治理(下)

四、端點安全與威脅管理

端網路連線日趨密集，網際空間威脅的擴散程度也隨之升高，其範圍與規模就如同駭客、電腦詐騙者、病毒與蠕蟲撰寫者，以及間諜程式、廣告軟體、垃圾郵件之發佈者一般擁有豐富的想像力，以致無邊無際。不幸的是，隨著網路轉變所帶來包括存取、資訊共享、匯集、整合與即時分享等優勢，即使是犯罪者、恐怖分子或其他心懷不軌者也都能使用，並未有所限制。如果不加以預防及管理，可想見這些威脅必會癱瘓21世紀的網路活動。而我們必須在這之前加以遏止，即使無法澈底制止滲透網路的威脅，仍要設法進行預防管理。所謂預防管理是利用整合式的方法來管理威脅，著眼於「遠端存取」與「端點安全」的結合；置重點於瀏覽器安全、主機完整性、惡意軟體偵測和資訊控管。瀏覽器是當前網路運用的主要存取方式，確保遠端存取期間的瀏覽器安全相當重要。瀏覽器可能儲存的資訊，包括快取與自動完成的記錄資料，以及離線瀏覽的暫存檔等等。例如，瀏覽器的快取必須在每個連線期間都進行加密，並且在連線結束後清除；主機完整性的檢驗應先掌控遠端設備自身的安全性，例如針對遠端設備是否有基本的防毒措施、客戶端防火牆與特定軟體版本的更新狀態等進行檢查，以避免不安全的遠端設備經由遠端連線後，危害到整個企業網路；而惡意軟體的偵測在確保所傳輸的資料，無法被潛藏的鍵盤側錄攻擊或畫面擷取程式所竊取，即使它們在進行連線前便已存在終端設備中。最後則是資訊控管，企業資訊一旦經由遠端存取到行動工作者的電腦中，無論是不經意的洩露或遭竊取，都將對企業造成損害，因此企業對外提供遠端存取時，必須適切運用加密機制有效控管，並能限制轉存檔案、複製至剪貼簿、列印，甚至連螢幕拷貝都要能控管，才能確保企業資訊的安全。

整合式的安全方法讓威脅管理與企業得以密切配合，有助於預先掌握安全威脅及採取補救措施，進而在安全事件影響組織前加以阻止。就實況而言，如只導入更多的安全設施，非但不能產生多大的效益，反而會增加管理的負擔，甚而降低效益。因此最佳的解決之道在於良好的管理，而非更多的產品。所以嘗試透過大量但不完整的個別解決方案來處理資安威脅，只是讓問題更形複雜且需高額的費用來排除彼此衝突、備援及協同性不佳等問題。個別解決方案的根本問題在於其只能滿足總體安全管理所面臨挑戰的一小部分，因為以任何方式與「外界」(即個人電腦外部世界)交互作用的任何活動，幾乎都有可能使個人電腦遭受感染。有效的整合式威脅管理核心，是要了解企業的關鍵業務問題，以及在業務實踐的過程中，運用關鍵資訊科技的安全管理能力，解決當前安全的挑戰，又能滿足未來的需求，從而降低風險、降低成本，達到保護資產及提供持續性服務，並能符合法令規範之效益。

五、資料治理

資料治理觀念乃是企業內部對於所有營運資料的可用性、使用率、完整性與安全性的整合性管理機制，透過人員(People)、過程(Processes/Procedures)與安控產品(Products)等3P之資源投入，有效達到預期的目標與效益，包括：增加「經營決策」時的「一致性」與「信心度」、降低可能違反「資料法規」的損失風險、改善「資料安全」、最佳化與最大化資料所可能延伸的企業收入效益。

然而企業資訊主管如何獲知與了解單位內的資料治理品質與成效呢？首先需要清楚了解企業內部目前的營運資料真正存取管道與使用狀況，透過正確、有效、無副作用的「資料庫安控稽核方案」，將讓資安長、資安官、稽核人員從過去概念性的假設想法，如釋重負地眼睛一亮，清楚透視出企業資訊金庫的使用率、完整性、安全性，解決下列在資料治理上的安控痛楚，究竟是「誰」透過「哪種方式」將「交易資料抽單、新增DB特殊權限使用者、修改成本資料、刪除客戶資料」？能否自動察覺與阻斷「單次查詢超過合法權限資料筆數(例如：SQL Injection)」的狀況發生？如何確保「資料庫特權使用者」，都按照單位與企業的授權範圍正常運作？如何「快速、正確、完整、自動」產出符合ISO27001、新巴塞爾、個資法、沙賓等相關資安法規中最重要的「機敏資料存取行為稽核報表」？資料安全是不可忽視的營運問題。「本公司並無太大的風險」，這是我最常聽到管理階層講的一句話，其實他是說「我們無法修補我們不知道的弱點」、「我們不知道那些完全不懂的領域」。不管內部員工是惡意地或不經意地犯錯，你要管理的是存放公司大量機敏資料的網路，是不容許被入侵的。公司的營業交易秘密、財務報告、員工資料與客戶資訊，一旦遭竊就別想全身而退。雖然嚴重的安全意外總是出乎意料之外地出現，而且多數企業是承受不起一滴點的資訊外洩，但是要記住，科技是無法自動幫你解決所有問題的。面對內部威脅，保護公司資產的過程絕對不輕鬆，必須要尋求管理階層買單，透過高層宣示網路用戶的責任以及可歸責性，取得老闆的支援，大力鼓吹安全政策，才是有效與員工溝通的不二法門。我們必須不斷地提醒員工要照章辦事，因為以科技過濾資訊內容雖可以達到許多目的，卻不是資料保護措施的終點站。然而，只要能夠合理地應用這些科技，至少它能提供強而有力的監控功能，以確保組織內部的重要資訊不會從網路上溢出。

六、結論

保障企業機密資訊是資安議題的最終目標。為確保安全，把網路資源一視同仁地統統鎖起來是不對的，正確的方式是細心地關注誰有權力看到什麼資料。當企業組織或政府部門逐漸體認到，企業核心價值與公司核心系統內的資訊密不可分時，惟有透過控制——監視從終端下載資訊的方式、屏障——免於被儲存在可攜式或抽取式儲存裝置的不當程式利用來複製到終端上、保護——使您的網路不因無線、藍芽或其他介面而暴露於外界，才能有效免除機密資訊遭盜竊和誤用的危險。誠如資安大師Bruce Schneier所言，我們的社會對技術有種崇拜，技術可以解決很多問題，在電腦領域有很多也的確是如此，但是，基本上安全是一個由人產生的問題，所以技術只是很小的一部分，如果安全能隨著組織不斷發展，並能把「安全視為一種激勵」，和經濟刺激綁在一塊，使安全成為一種習慣，那這種經濟刺激最終會使電腦網路越來越安全。雖然電腦的安全問題不可能被完全解決，因為它包含了人的因素，而安全也一直都是一種攻防對抗，惟合理的政策、適切的風險管控，再加以一點刺激，才能在這場對抗中勝出。

現今社會中有不少消費者會選擇出國渡假；其中，有消費者選擇刷信用卡來繳團費（旅費）、機票費，以增加旅途中的保障；但消基會表示，其實信用卡的旅遊平安險，說穿了只是保障交通運輸期間的輸送安全。消基會檢視目前40家發卡機構所免費贈送的旅遊平安險，發現有五大限制必須提醒消費者注意：

一、 支付團費80%以下或非機票全額，不理賠！ 欲獲得信用卡公司附加的旅遊平安險，40家刷卡機構都規定，必須刷八成以上團費或機票全額，才享有保障。另外，近年來風行「自由行」、「代訂機票」…等旅遊型態，亦必須支付旅程中，公共運輸交通工具的全額費用（例如機票全額），才能享有保障。換言之，若是以信用卡的紅利積點、兌換免費機票，或是參加抽獎獲得的贈品（機票或團費），都不在保險保障範圍。

二、 幫父母或25歲以上子女代刷，不理賠！
目前40家發卡機構，有38家限定被保險人為「持卡人本人，以及其配偶和未滿25歲之未婚子女。」；友邦信用卡在持卡人及其配偶兩者，還限定年齡不得逾80歲；而美國運通則是限制「持卡人本人，以及其配偶和未滿23歲之未婚子女。」，因此，若消費者全家一起出國時，持卡人幫父母親代刷團費，並不在承保範圍；而若是幫自己的子女刷團費，必須是未滿25歲（美國運通限制為23歲）的未婚子女才能享有。另外，消費者也必須注意，自民國92年10月起，未滿14歲的未成年人為被保險人時，其訂立的人壽保險契約、傷害保險契約，或簡易人壽保險契約，僅支付喪葬費用保險金，總和以200萬元為限。

三、 非大眾運輸工具，不理賠！
消基會指出，除了刷卡買機票或支付團費，可享用信用卡公司附加的旅遊平安險外，其實國內的短程旅遊，也可善加利用，但限制必須是搭乘「大眾運輸工具」。其意思是指：經政府登記許可，行駛於固定航班、路線之商用客機或水、陸上大眾交通工具、開放式包機（旅行社向航空公司承租，用以招攬不特定團員報名參加，並經當地政府許可行駛於兩地間固定航班、路線之商用客機的定期包機），以及兩地間既有航線定期商用客機的加班機。 換言之，就是固定航班、固定路線、固定時間、固定費率等，才符合發卡銀行規定。 而（1.）以遊覽觀光景點為目的者，如遊覽車；（2.）限於特定人士或團體搭乘者，如私人、政府或公民營企業之包機或專車等，則不在理賠範圍。

四、 非保障期間，不理賠！
另外，消費者如果刷卡買機票，其保障範圍還擴大至往返機場期間所搭乘的公私交通運輸工具，但以（1.）搭機前五個小時搭乘汽車前往機場期間、（2.）在機場內、（3.）降落後五個小時搭乘汽車離開機場期間（友邦信用卡則限制為三小時）；若不是在這段期間內發生意外，就無法獲得賠償。

消基會也提醒消費者，該保障期間的前提是：「往返機場的路上！」，換言之，消費者在保障期間內，往返其他目的地而發生意外，是無法獲得賠償的，而該往返的交通工具也有限制，比如說，如果是使用機踏車、腳踏車或其他類似交通工具，並不在承保範圍之內。

五、 文件資料、收據不全，不理賠！
消費者若在業者承保的範圍內遭遇事故，於事後申領保險金時，必須檢具的文件有：（1.）保險金申請書；（2.）證明文件；（3.）持卡人之刷卡記錄、旅行社所開立之收據，但須證明所支付費用，達團費80%以上，或證明其刷卡費用，為旅程中大眾運輸工具之全額；（4.）搭乘大眾運輸工具之票證，如登機證；（5.）證明持卡人之配偶、子女關係之文件，如戶籍謄本等。

曾有消費者向消基會反應，某次向信用卡公司申請理賠時，對方以：「旅行社開立之收據，無法判別是否已刷滿團費的80％以上。」，為此消費者還特地返回旅行社，要求旅行社協助證明後，才順利獲得理賠；因此針對搭乘票證、醫療收據等文件資料，消費者必須備齊，以便求償。

總結

1. 出國前了解自身權益
為了讓出國旅程更有保障，消費者在刷卡前，一定要了解發卡機構所提供 的保險內容，必要時，事先請發卡銀行提供其保險條款，以清楚了解自己可享有哪些保障；而若覺得業者所提供的保障項目不足，可以再幫自己添購其他項目的保險；例如海外旅遊全程意外險等。

2. 無需重覆投保多家旅遊平安險
消基會提醒消費者，產險理賠以「損害填補為原則（意即實質理賠）」，因此若消費者已有信用卡公司提供之旅遊平安險，則無需重複投保旅遊平安險。
消基會舉例，今消費者於承保範圍內，因意外傷害需求償，其申請理賠的保險金，僅為實際受到損害之金額。就算消費者投保多家保險公司的旅遊平安險，其獲得賠償的保險金，也是由這多家保險公司，依承保比例分擔消費者實際損害金額賠償而已。

3. 出國刷卡，不得加收手續費
財政部金融局已於90年函令規定：「旅行社不得向消費者收取刷卡手續費。」；因此消基會提醒消費者，若遇旅行社以「現金優惠價」、「刷卡收服務費」等名目，變相向消費者收取刷卡手續費，可立即向該收單銀行檢舉，或向消基會反應。